He realizado pruebas de penetración usando
Pero antes de hablar sobre problemas de privacidad y cómo solucionarlos, echemos un vistazo a los datos almacenados en AD.
Active Directory es el Facebook corporativo
Pero en este caso, ¡ya te has hecho amigo de todos! Es posible que no conozca las películas, los libros o los restaurantes favoritos de sus compañeros de trabajo, pero AD contiene información de contacto confidencial.
datos y otros campos que pueden ser utilizados por piratas informáticos e incluso personas internas sin habilidades técnicas especiales.
Por supuesto, los administradores del sistema están familiarizados con la siguiente captura de pantalla. Esta es la interfaz de Usuarios y Computadoras de Active Directory (ADUC) donde configuran y editan la información del usuario y asignan usuarios a los grupos apropiados.
AD contiene campos para el nombre, la dirección y el número de teléfono del empleado, por lo que es similar a un directorio telefónico. ¡Pero hay mucho más! Otras pestañas también incluyen dirección web y de correo electrónico, administrador de línea y notas.
¿Todos en la organización necesitan ver esta información, especialmente en una era?
¡Por supuesto que no! El problema se agrava cuando los datos de la alta dirección de una empresa están disponibles para todos los empleados.
PowerView para todos
Aquí es donde entra en juego PowerView. Proporciona una interfaz PowerShell muy fácil de usar para las funciones subyacentes (y confusas) de Win32 que acceden a AD. En breve:
esto hace que recuperar campos AD sea tan fácil como escribir un cmdlet muy corto.
Tomemos un ejemplo de recopilación de información sobre una empleada de Cruella Deville, que es una de las líderes de la empresa. Para hacer esto, use el cmdlet get-NetUser de PowerView:
La instalación de PowerView no es un problema grave; compruébelo usted mismo en la página
En la captura de pantalla anterior, puede ver que un experto puede aprender mucho sobre Cruella rápidamente. ¿También has notado que el campo “info” revela información sobre los hábitos personales y la contraseña del usuario?
Ésta no es una posibilidad teórica. De
Active Directory tiene sus propias ACL
La interfaz de Usuarios y Computadoras de AD le permite establecer permisos en objetos de AD. AD tiene ACL y los administradores pueden otorgar o denegar el acceso a través de ellas. Debe hacer clic en "Avanzado" en el menú Ver ADUC y luego, cuando abra el usuario, verá la pestaña "Seguridad" donde configura la ACL.
En mi escenario de Cruella, no quería que todos los usuarios autenticados pudieran ver su información personal, así que les negué el acceso de lectura:
Y ahora un usuario normal verá esto si prueba Get-NetUser en PowerView:
Logré ocultar información obviamente útil de miradas indiscretas. Para mantenerlo accesible para los usuarios relevantes, creé otra ACL para permitir que los miembros del grupo VIP (Cruella y sus otros colegas de alto rango) accedan a estos datos confidenciales. En otras palabras, implementé permisos de AD basados en un modelo a seguir, lo que hizo que los datos confidenciales fueran inaccesibles para la mayoría de los empleados, incluidos los Insiders.
Sin embargo, puede hacer que la membresía del grupo sea invisible para los usuarios configurando la ACL en el objeto del grupo en AD en consecuencia. Esto ayudará en términos de privacidad y seguridad.
en su
Pude ocultar la membresía de Cruella y Monty Burns en el grupo VIP, lo que dificultó que los piratas informáticos y los iniciados exploraran la infraestructura.
Esta publicación tenía como objetivo motivarlo a observar más de cerca los campos.
AD y permisos relacionados. AD es un gran recurso, pero piensa en cómo lo harías.
quería compartir información confidencial y datos personales, especialmente
cuando se trata de los altos funcionarios de su organización.
Fuente: habr.com